Hackad via iCloud - fick iPhone, iPad och MacBook Air raderad

Tråden skapades och har fått 38 svar. Det senaste inlägget skrevs .

Klantigt Apple (nollställa lösenord via telefon) och Honan (ingen backup).

Backup, backup, backup!

Oavsett vilka misstag han har gjort, skall lösenordet inte lämnas ut från Apple
Utgår från att något blev arbetslös på Apple

Ursprungligen av MalcomX:

Oavsett vilka misstag han har gjort, skall lösenordet inte lämnas ut från Apple
Utgår från att något blev arbetslös på Apple

Apple lämnade inte ut något lösenord, de nollställde det. Ledde till samma sak, men en viss skillnad är det.

Ursprungligen av Capeman:

Apple lämnade inte ut något lösenord, de nollställde det. Ledde till samma sak, men en viss skillnad är det.

Skillnanden är för den drabbade ?

Ursprungligen av MalcomX:

Skillnanden är för den drabbade ?

Som jag sade ledde det till samma sak, men det är skillnad på att nollställa ett lösenord och att ge ut ett lösenord. Personen ifråga kanske använder samma lösenord till helt andra, till Apple orelaterade, sidor, mailkonton etc. Det hade varit ännu värre.

  • Medlem
  • Lund
  • 2012-08-06 12:58

Ja, hur skyddar man sig då? Spelar ju ingen roll hur svårt eller krångligt lösenord man har om man kan nollställa ett lösenord så.

Ursprungligen av what:

Ja, hur skyddar man sig då? Spelar ju ingen roll hur svårt eller krångligt lösenord man har om man kan nollställa ett lösenord så.

Det är inte bara att ringa och be att få lösenordet nollställt. När du skapar din iCloud får du ett antal kontrollfrågor att svara på. Din morsas flicknamn, första husdjuret etc etc. Dessa frågor måste du kunna svara på när du vill ha ditt lösenord nollställt. Dessa frågor är samma för alla och det är inte direkt kvantfysik att kartlägga vem som helst så man kan ta reda på svaren. Det bästa här är att välja ett custom-alternativ så att det kommer upp en fråga som rimligen endast du själv vet och kan ta reda på svaret på.

  • Medlem
  • Stockholm
  • 2012-08-06 13:16
Ursprungligen av pmarriott:

Det är inte bara att ringa och be att få lösenordet nollställt. När du skapar din iCloud får du ett antal kontrollfrågor att svara på. Din morsas flicknamn, första husdjuret etc etc. Dessa frågor måste du kunna svara på när du vill ha ditt lösenord nollställt. Dessa frågor är samma för alla och det är inte direkt kvantfysik att kartlägga vem som helst så man kan ta reda på svaren. Det bästa här är att välja ett custom-alternativ så att det kommer upp en fråga som rimligen endast du själv vet och kan ta reda på svaret på.

Fast här "slapp" man det
"They got in via Apple tech support and some clever social engineering that let them bypass security questions."

Ursprungligen av Katinka:

Fast här "slapp" man det
"They got in via Apple tech support and some clever social engineering that let them bypass security questions."

Social Engineering innebär just att du snokar reda på svaren på frågorna.

Ursprungligen av pmarriott:

Social Engineering innebär just att du snokar reda på svaren på frågorna.

Inte nödvändigtvis. Det kan vara allt möjligt, som att du genom ren övertalning eller andra "bevis" lyckas få supportpersonalen att tro att du är den du utger dig för att vara. Som jag tolkar Honan så hade de kommit runt ("bypass") säkerhetsfrågorna, snarare än svarat på dom.

Honan skriver förövrigt en grej om det som kommer i Wired senare idag.

Ursprungligen av Adrian B:

Inte nödvändigtvis. Det kan vara allt möjligt, som att du genom ren övertalning eller andra "bevis" lyckas få supportpersonalen att tro att du är den du utger dig för att vara. Som jag tolkar Honan så hade de kommit runt ("bypass") säkerhetsfrågorna, snarare än svarat på dom.

Honan skriver förövrigt en grej om det som kommer i Wired senare idag.

Får backa lite här. Jag har trott att fenomenet innebär att man tar reda på så mycket om en person i förväg att man trovärdigt kan utge sig för att vara densamma och övertyga motparten om att man är den man säger. Begreppet "social engineering" tycks inte förutsätta att man faktiskt vet något om den man utger sig för att vara.

Saxat från Wikipedia: "Social engineering, in the context of security, is understood to mean the art of manipulating people into performing actions or divulging confidential information. While it is similar to a confidence trick or simple fraud, it is typically trickery or deception for the purpose of information gathering, fraud, or computer system access; in most cases the attacker never comes face-to-face with the victims.
"Social engineering" as an act of psychological manipulation had previously been associated with the social sciences, but its usage has caught on among computer professionals."

Ursprungligen av Adrian B:

Honan skriver förövrigt en grej om det som kommer i Wired senare idag.

Nu är artikeln i Wired publicerad: How Apple and Amazon Security Flaws Led to My Epic Hacking | Gadget Lab | Wired.com

Vägen in gick via Amazon:

Citat:

Apple tech support gave the hackers access to my iCloud account. Amazon tech support gave them the ability to see a piece of information — a partial credit card number — that Apple used to release information.

Det jag skrev i artikeln om tvåstegsverifiering i Gmail verkar stämma:

Citat:

Had I used two-factor authentication for my Google account, it’s possible that none of this would have happened, because their ultimate goal was always to take over my Twitter account and wreak havoc.

Ursprungligen av Adrian B:

Inte nödvändigtvis. Det kan vara allt möjligt, som att du genom ren övertalning eller andra "bevis" lyckas få supportpersonalen att tro att du är den du utger dig för att vara. Som jag tolkar Honan så hade de kommit runt ("bypass") säkerhetsfrågorna, snarare än svarat på dom.

Tolkningen stämde, såhär skriver Honan i Wired (min markering):

Citat:

At 4:33 p.m., according to Apple’s tech support records, someone called AppleCare claiming to be me. Apple says the caller reported that he couldn’t get into his .Me e-mail — which, of course was my .Me e-mail.

In response, Apple issued a temporary password. It did this despite the caller’s inability to answer security questions I had set up. And it did this after the hacker supplied only two pieces of information that anyone with an internet connection and a phone can discover.

Ursprungligen av what:

Ja, hur skyddar man sig då? Spelar ju ingen roll hur svårt eller krångligt lösenord man har om man kan nollställa ett lösenord så.

Honan hade inte kunnat göra något för att skydda sig i detta fall, så vitt jag förstått det. Men man får hoppas att den här historien leder till hårdare tyglar på personalen som inte låter sig luras lika lätt. Och sen ska man givetvis se till att ha bra säkerhetsfrågor också, så de inte går att lista ut.

Detta är ett klassiskt exempel på att användarvänlighet≠säkerhet.
För att inte för all framtid låsa information pga av förlorat lösenord erbjuder Apple möjligheten att nollställa lösenordet, efter att ställa vissa kontrollfrågor för att vara rimligt säkra på att personen i telefon är den han utger sig från att vara. Antingen kunde man låta bli att erbjuda sådan hjälp med konsekvensen att många som glömt sin inloggningsfunktion skulle bli blåsta på sin data, eller så kunde man erbjudit tvåstegsverifiering så som artikeln föreslår. Båda alternativen erbjuder högre säkerhet och mindre användarvänlighet.

Och att inte ha backup borde idag sortera under kriminell dumhet.

  • Medlem
  • Stockholm
  • 2012-08-06 13:14

Förvånad, nej
För något år sedan hade någon av idg:s tidningar med "återfå inloggning" i sin webbhotellstest. Det var ett antal som med lite "lirkande" lämnade ut/återställde inloggningsuppgifterna utan att de kunde vara säkra på att det var rätt innehavare de hade på tråden. Jag är övertygad om att med tillräckligt smort munläder och fräckhet, ev kombinerat med lite urkundsförfalskning så går det nog också att få Googles att släppa på sin mobilverifikation.

Tråkigt för Honan som drabbades men jag skulle tro att han kommer att kompenseras ordentligt och förhoppningsvis blir det inte allt för många viktiga filer som är borta för alltid.

Jag är mest nyfiken på den som gjort det. Vad var syftet? Knappast bara att sabotera för då hade personen väl inte tagit kontakt och därmed riskera att blir spårad - även om man är skicklig på att dölja sig så finns de alltid en risk för upptäckt. En person som visste att detta var möjligt? Som har försökt varna tidigare men inte blivit hörd? Som själv blivit drabbad men som man inte trott på?

  • Medlem
  • Stockholm
  • 2012-08-06 13:49

Man kanske även kan önska sig bättre "standardfrågor". Svaret till de som finns (eller fanns när jag registrerade mitt Apple ID) är i många fall till och med googlingsbara. Att man inte kan svara direkt? Tja, uppkopplingen bröts

  • Medlem
  • Örnsköldsvik
  • 2012-08-06 19:18

Vilken tur att man inte använder iCloud....

Ursprungligen av mattiL:

----------------------------
lämnar helst inte
hela mitt digitala liv i famnen på en organisation/operatör.

Jag klarar mig fortfarande utan iCloud.

Förstår hur du tänker, men personligen känner jag inte att jag har något att dölja i min kontakt lista, kalender, photostream eller anteckningar. Därför är iCloud ett suveränt redskap för att synka mellan tex min Macbook och Iphone.
Men därifrån till att någon annan kan radera hela ens dator och komma över annan information som inte går över iCloud är en helt annan sak.

Ursprungligen av MalcomX:

personligen känner jag inte att jag har något att dölja i min kontakt lista, kalender, photostream eller anteckningar. Därför är iCloud ett suveränt redskap för att synka mellan tex min Macbook och Iphone.
Men därifrån till att någon annan kan radera hela ens dator och komma över annan information som inte går över iCloud är en helt annan sak.

Jag tycker inte din hållning håller riktigt för du är väl ingen digital ö utan förbindelser med omvärlden? Du ingår i nätverk?

Är alla du har i adressboken oövervinneliga för attacker av det här slaget eller andra? Det verkar inte särskilt troligt. Här vill man anta att du har invigt alla dessa kontakter, eller de du i övrigt har information om, i din hållning att du inte har något att dölja. Men det tror jag inte du haft en tanke på. Det är ju bara en adressbok. Vad skulle kunna hända?

Trots allt så var det bara en epostadress, en hemadress och de 4 sista av ett VISA-kortnummer som behövdes senast måndag när tidningen Wired gjorde om det hela på ett annat konto. Jag antar att du har i alla fall de 2 förstnämnda informationsbitarna på en del av dina kontakter? Adressen kan man i de flesta fall förstås fixa lätt, särskilt om hela namnet finns med eller framgår av epostadressen, vilket är vanligt.

Det är uppenbart att Apple och Amazon och kanske många fler tjänsteföretag måste tänka om på den här punkten. För att inte tala om Macanvändarna.

Ursprungligen av MalcomX:

Förstår hur du tänker, men personligen känner jag inte att jag har något att dölja i min kontakt lista, kalender, photostream eller anteckningar. Därför är iCloud ett suveränt redskap för att synka mellan tex min Macbook och Iphone.
Men därifrån till att någon annan kan radera hela ens dator och komma över annan information som inte går över iCloud är en helt annan sak.

Läsvärt ang. "jag har inget att dölja".
Why Privacy Matters

Antar att flesta personer använder mobiltelefoner? Malte Spitz: Your phone company is watching | Video on TED.com

Senast redigerat 2012-08-09 13:56
Ursprungligen av keptang:

Läsvärt ang. "jag har inget att dölja".
Why Privacy Matters

Staten vet det mesta om dig ändå. Antar att du och din familj använder mobiltelefoner? Malte Spitz: Your phone company is watching | Video on TED.com

Sevärt och läsvärt.

  • Medlem
  • International user
  • 2012-08-06 22:30
Ursprungligen av mattiL:

Vilken tur att man inte använder iCloud....

Men du har ett iTunes-konto, same same.

Någon är verkligen sne på Honan :-D. Detta är något personligt - ingen slumphack.

Hmmm. Det här får en att tänka till. Man får nog se över ett och annat. Ett vettigt tankesätt tycks vara att "utgå från att vem som helst när som helst kan komma åt all information som du lägger ut på internet". Inklusive kreditkortsnummer, användarnamn och lösenord.

Svagheten tycks vara att ha sina epostkonton länkade till varandra, så som Honan hade sitt iCloud-konto som sekundärt konto till sin Gmail.

En liten bisak i sammanhanget, men ett säkerhetstips, är att jag numera har ett vanligt bankkort som jag enbart använder till kontantuttag. Till alla andra transaktioner använder jag ett kreditkort utan koppling till mina bankkonton. På det viset kan ingen länsa mitt konto om mitt kort kapas. Till mitt vanliga bankkort har jag ett separat bankkonto med bara ett par tusenlappar på.

  • Medlem
  • International user
  • 2012-08-07 19:15
Ursprungligen av pmarriott:

Hmmm. Det här får en att tänka till. Man får nog se över ett och annat. Ett vettigt tankesätt tycks vara att "utgå från att vem som helst när som helst kan komma åt all information som du lägger ut på internet". Inklusive kreditkortsnummer, användarnamn och lösenord.

Svagheten tycks vara att ha sina epostkonton länkade till varandra, så som Honan hade sitt iCloud-konto som sekundärt konto till sin Gmail.

En liten bisak i sammanhanget, men ett säkerhetstips, är att jag numera har ett vanligt bankkort som jag enbart använder till kontantuttag. Till alla andra transaktioner använder jag ett kreditkort utan koppling till mina bankkonton. På det viset kan ingen länsa mitt konto om mitt kort kapas. Till mitt vanliga bankkort har jag ett separat bankkonto med bara ett par tusenlappar på.

Själv har jag ett kreditkort där uttagen är kopplade till samma konto som mitt bankkort där jag endast har några tusen. Mycket smidigt.

Jag har uppdaterat min artikel med lite mera info från Wired-artikeln, men jag rekommenderar en läsning av hela Wired-artikeln.

Sen tror jag att jag ska byta mitt Apple-ID till en epost som jag inte använder till något annat. Och att jag ska slå av "Find My Mac".

  • Medlem
  • Stockholm
  • 2012-08-07 13:24

Så det var så lätt! Här kan man sitta och hitta på långa komplicerade lösenord och kluriga frågor som sedan inte spelar någon roll.

Känns lite bra att få veta varför kontot togs över - det gör "världen" lite begripligare. När det gäller raderandet så är jag inte förvånad. Även om det inte var meningen så följer det väl annat vi vet om maktberusning.

Jag har nog tänkt som pmarriott att allt man lägger ut/upp kan andra komma åt men jag har inte tänkt på att det även inkluderar att det raderas. De domäner jag har på webbhotell är det mindre problem med - där kan materialet läggas tillbaka gratis eller för ett par hundra. Där vi använder gmail är det uppenbarligen mer problem - här får vi nog tänka till

Dags att köpa ytterligare en hårddisk för det vi backuppar i molnet - smidigt men det krävs nog en lokal disk om man ska vara säker. De grå molnen som börjar torna upp sig kanske gör att eftermiddagen kan ägnas till att gå igenom hur konton är kopplade till varandra istället för bad.

Senast redigerat 2012-08-07 13:46
  • Medlem
  • Stockholm
  • 2012-08-07 15:45
Ursprungligen av Katinka:

Så det var så lätt! Här kan man sitta och hitta på långa komplicerade lösenord och kluriga frågor som sedan inte spelar någon roll.

Känns lite bra att få veta varför kontot togs över - det gör "världen" lite begripligare.

Absolut, en upplysning som gör att jag/man vaknar till. Det är bra att Mat Honan går ut med hela historien.

Ursprungligen av Katinka:

Dags att köpa ytterligare en hårddisk för det vi backuppar i molnet - smidigt men det krävs nog en lokal disk om man ska vara säker.

En extra back-up lokalt känns som en billig försäkring.

Bevaka tråden